Yapay Zekâ Hukuku ve Yönetişimi: Türkiye ve Sınır Ötesi Pazarlarda Şirketler İçin Hukuki Rehber
Yapay zekâ artık yalnızca bir teknoloji meselesi değil. YZ sistemleri geliştiren, satın alan veya devreye alan şirketler; YZ iş süreçlerine yerleşmeden önce kişisel verilerin korunması, sözleşmeler, fikrî mülkiyet, sorumluluk, istihdam, tüketicinin korunması, siber güvenlik, yönetişim, sınır ötesi uyum ve uyuşmazlık riskini değerlendirmelidir.
Yapay zekâ, sıradan iş altyapısının bir parçası hâline geliyor.
Şirketler YZ'yi yazmak, kod yazmak, çeviri yapmak, veri analiz etmek, belge taramak, müşteri hizmetlerini desteklemek, görsel üretmek, kararları otomatikleştirmek, dolandırıcılığı tespit etmek, lojistiği yönetmek, pazarlamayı kişiselleştirmek, sözleşmeleri incelemek, risk değerlendirmek ve verimliliği artırmak için kullanıyor. Kurucular ve yöneticiler için YZ; hız, ölçek ve verimlilik fırsatı gibi görünebilir.
Avukatlar, düzenleyiciler, yatırımcılar ve yönetim kurulları için ise YZ farklı bir soru doğurur: bir YZ sistemi veriyi hukuka aykırı kullandığında, zararlı bir çıktı ürettiğinde, fikrî mülkiyeti ihlal ettiğinde, ayrımcılık yaptığında, bir müşteriyi yanılttığında, gizliliği ihlal ettiğinde, ticari sırları ifşa ettiğinde veya kimsenin gerektiği gibi açıklayamadığı bir karar verdiğinde sorumlu kim olur?
YZ hukuku yalnızca gelecekteki mevzuatla ilgili değildir. Mevcut hukuki çerçeveler aracılığıyla zaten buradadır — kişisel verilerin korunması, sözleşmeler, fikrî mülkiyet, gizlilik, istihdam, tüketicinin korunması, haksız rekabet, siber güvenlik, sektöre özgü kurallar, mesleki yükümlülükler, ürün sorumluluğu, kurumsal yönetişim ve uyuşmazlık çözümü. Türkiye, Kuzey Kıbrıs ve sınır ötesi pazarlardaki şirketler için YZ yönetişimi; bir düzenleyici, müşteri, yatırımcı veya karşı taraf zor sorular soruncaya kadar beklememelidir.
Bu rehber, şirketlerin yapay zekâ sistemlerini geliştirirken, tedarik ederken, devreye alırken veya bunlara yatırım yaparken değerlendirmesi gereken hukuki konuları açıklar.
1. YZ Yalnızca Bir Teknoloji Sorusu Değildir
Bir şirket, bir YZ projesini teknik bir devreye alma olarak tanımlayabilir. Hukuken bu aynı zamanda bir veri işleme faaliyeti, bir yazılım tedariki, bir lisans düzenlemesi, tüketiciye dönük bir hizmet, bir istihdam izleme aracı, bir karar-destek sistemi, düzenlenmiş bir sektör riski, bir fikrî mülkiyet meselesi, bir siber güvenlik riski, bir gizlilik riski, dışarıya verilmiş bir hizmet, bir yönetişim sorumluluğu — ve potansiyel bir uyuşmazlık olabilir.
Hukuki analiz, YZ sisteminin ne yaptığına bağlıdır. Basit müşteri hizmetleri için kullanılan bir sohbet robotu, kredi puanlaması, tıbbi triyaj, işe alım, hukuki belge incelemesi, biyometrik kimlik tespiti, dolandırıcılık tespiti veya çalışan performans izleme için kullanılan bir YZ sistemiyle aynı şey değildir. Dolayısıyla YZ hukuki yönetişiminde ilk görev kullanım senaryosunu anlamaktır. Soru yalnızca "YZ kullanıyor muyuz?" değil, şudur: YZ hangi işlevi görüyor, hangi veriyi kullanıyor, çıktıya kim güveniyor, hangi zarar doğabilir ve riski kontrol etmekten kim sorumlu?
2. YZ Geliştiricileri, Devreye Alanlar ve Kullanıcılar
YZ projeleri farklı aktörleri içerir. Bir şirket kendi modelini geliştiriyor, mevcut bir modeli ince ayarlıyor, üçüncü taraf bir aracı entegre ediyor, bir YZ ürününü yeniden satıyor, YZ'yi dahili kullanıyor, müvekkillere YZ destekli hizmet sunuyor, müvekkil verisini YZ ile işliyor, YZ üretimi çıktılara dayanıyor veya bir YZ girişimine yatırım yapıyor olabilir. Her rol farklı hukuki sorumluluklar doğurur.
Bir geliştirici; eğitim verisini, model dokümantasyonunu, fikrî mülkiyet haklarını, testi, güvenliği, önyargıyı, güvenliği ve kullanıcı talimatlarını dikkate almalıdır. Bir işletme kullanıcısı; tedariki, tedarikçi sözleşmelerini, gizliliği, çalışan eğitimini, çıktı incelemesini, veri korumayı, müşteri açıklamalarını ve sorumluluğu dikkate almalıdır. Bir yatırımcı, durum tespiti sırasında YZ yönetişimini incelemelidir. Kendisini "yalnızca kullanıcı" sayan bir şirket; YZ'yi çalışanları, müşterileri, hastaları, öğrencileri, tüketicileri, karşı tarafları veya hukuki hakları etkileyecek şekilde devreye alıyorsa yine de sorumlulukla karşılaşabilir.
3. YZ Yönetişimi Bir Envanterle Başlar
Bir şirket, YZ'nin nerede kullanıldığını bilmiyorsa YZ riskini yönetemez. İlk adım bir YZ envanteri olmalıdır: şirketin resmen tedarik ettiği araçlar, mevcut yazılıma gömülü YZ özellikleri, çalışanlarca gayri resmi kullanılan araçlar, yüklenicilerce kullanılan sistemler, pazarlama, İK, satış, finans veya hukuk ekiplerindeki YZ, müşteri hizmetlerinde, analitikte veya profillemede YZ, siber güvenlikte, işe alımda veya çalışan izlemede YZ, ürün geliştirmede YZ ve harici tedarikçilerce şirket adına kullanılan YZ.
Birçok şirket "gölge YZ"yi hafife alır. Çalışanlar; belgeleri özetlemek, e-posta taslağı hazırlamak, sözleşme çevirmek, tablo analiz etmek veya pazarlama içeriği üretmek için kamuya açık üretken YZ araçlarını resmî onay olmadan kullanabilir — bu da gizli bilgileri, kişisel verileri, ticari sırları ve müvekkil materyallerini açığa çıkarabilir. Bir YZ yönetişim çerçevesi görünürlükle başlar.
4. Veri Koruma ve Kişisel Veri
YZ'nin hukuki riskinin çoğu veriyle başlar. YZ sistemleri; eğitim, ince ayar, istem (prompt), erişim, kullanıcı etkileşimi, analitik, izleme, çıktı üretimi, geri besleme döngüleri, model iyileştirme ve otomatik karar verme sırasında kişisel veri işleyebilir.
Şirketler; hangi kişisel verinin toplandığını, kimin verisinin işlendiğini, özel nitelikli verilerin söz konusu olup olmadığını, işlemenin hukuki dayanağını, veri minimizasyonuna uyulup uyulmadığını, aydınlatma metinlerinin yeterli olup olmadığını, açık rızanın gerekip gerekmediğini, verinin yurt dışına aktarılıp aktarılmadığını, tedarikçilerin veri işleyen mi yoksa bağımsız veri sorumlusu mu olduğunu, sistemin veriyi başka eğitimde kullanıp kullanmadığını, çıktıların kişisel veri açığa vurup vurmadığını, ilgili kişilerin haklarını kullanıp kullanamayacağını ve verinin nasıl saklandığını, silindiğini ve güvene alındığını incelemelidir. Türkiye'de kişisel veri içeren YZ projeleri 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuat kapsamında değerlendirilmelidir. Verinin bir YZ sistemi tarafından işlenmesi, olağan veri koruma yükümlülüklerini ortadan kaldırmaz: bir şirket; verinin neden gerektiğini, nasıl işlendiğini, kimin eriştiğini, nereye aktarıldığını ve ne kadar saklandığını açıklayabilmelidir.
5. Eğitim Verisi ve Hukuka Uygun Kullanım
Eğitim verisi, YZ'de en zor hukuki meselelerden biridir. Bir model; kişisel veri, telif hakkıyla korunan eserler, görseller, kod, ses, video, gizli bilgi, kazınmış (scraped) web sitesi içeriği, müşteri veya çalışan verisi, lisanslı veri tabanları, kamu kayıtları, sentetik veri ya da anonim/takma adlı veri içeren büyük veri kümeleriyle eğitilmiş olabilir.
Hukuki sorular şunları içerir: veri hukuka uygun elde edildi mi, rıza veya lisansın kapsamında mı kullanıldı, veri kümesi kişisel veri, telifli materyal, ticari sır veya gizli belge içeriyor mu, kazıma izinli miydi, robots.txt veya site koşulları dikkate alındı mı, veri ticari model eğitimi için kullanılabilir mi, bireyler itiraz edebilir veya silme talep edebilir mi, veri kümesi belgeli mi ve sorunlu veri kaldırılabilir mi. YZ geliştiren veya ince ayarlayan bir şirket, kamuya açık verinin her amaç için serbest olduğunu varsaymamalıdır — kamuya açıklık, hukuka uygun kullanımla aynı şey değildir.
6. Sınır Ötesi Veri Aktarımları
YZ araçları çoğu zaman sınır ötesi veri akışları içerir. Türkiye'deki veya Kuzey Kıbrıs'taki bir şirket; ABD, Avrupa Birliği, Birleşik Krallık veya başka yargı çevrelerinden işletilen bulut tabanlı YZ araçları kullanabilir. Veri; istemler, yüklenen belgeler, API çağrıları, model eğitimi, analitik, müşteri desteği, bulut barındırma, güvenlik kayıtları, tedarikçi erişimi ve alt işleyiciler aracılığıyla hareket edebilir.
Bu, hukuki ve operasyonel sorular doğurur. Şirketler; YZ tedarikçisinin nerede olduğunu, verinin nerede barındırıldığını, alt işleyici kullanılıp kullanılmadığını, kişisel verinin Türkiye'den veya ilgili yargı çevresinden çıkıp çıkmadığını, özel nitelikli veri söz konusu olup olmadığını, tedarikçinin veriyi model iyileştirme için kullanıp kullanmadığını, sözleşmesel güvencelerin bulunup bulunmadığını, aktarımın uygulanacak hukuka göre izinli olup olmadığını ve veri yerelleştirmesi, sektör kuralları veya müvekkil taahhütlerinin uygulanıp uygulanmadığını değerlendirmelidir. Sınır ötesi bir YZ sistemi, bir olaydan sonra değil, devreye almadan önce incelenmelidir.
7. Gizlilik ve Ticari Sırlar
Üretken YZ araçları ciddi bir gizlilik riski yaratır. Çalışanlar; sözleşmeler, finansal kayıtlar, müvekkil belgeleri, dava materyalleri, kaynak kodu, yönetim kurulu sunumları, satın alma hedefleri, iş planları, müşteri listeleri, ticari sırlar, İK dosyaları, hukuki mütalaalar veya strateji belgeleri yükleyebilir. Araç gerektiği gibi kontrol edilmezse şirket gizliliği kaybedebilir, sözleşmesel yükümlülükleri ihlal edebilir veya ayrıcalıklı materyali açığa çıkarabilir.
Şirketler; kamuya açık YZ araçlarına nelerin yüklenemeyeceği, hangi platformların onaylı olduğu, hassas kullanım senaryolarında ne zaman iç onay gerektiği, müvekkil verisinin nasıl ele alındığı, istemlerin ve çıktıların nasıl saklandığı, tedarikçinin ne tür gizlilik borçlandığı ve eğitim, denetim, izleme ve olay müdahalesinin nasıl işlediği konusunda açık kurallar benimsemelidir. YZ politikaları pratik olmalıdır: yalnızca "YZ kullanmayın" diyen bir politika göz ardı edilebilir; onaylı ve yasak kullanımları açıklayan bir politikanın işe yaraması daha olasıdır.
8. Fikrî Mülkiyet Sahipliği
YZ üretimi içerik zorlu fikrî mülkiyet soruları doğurur. Şirketler YZ'yi pazarlama metni, logo, görsel, yazılım kodu, ürün açıklaması, tasarım konsepti, rapor, çeviri, sunum, müzik veya video ile hukuki/teknik taslaklar oluşturmak için kullanabilir.
Hukuki sorular şunları içerir: çıktının sahibi kim, telif hakkı alınabilir mi, YZ tedarikçisi hak iddia ediyor mu, çıktı korunan eserler üzerinde mi eğitildi, üçüncü taraf haklarını ihlal edebilir mi, ticari olarak kullanılabilir mi, hangi lisans kısıtları geçerli, bir çıktı ihlal ederse kim sorumlu, YZ üretimi kod tescilli yazılıma entegre edilebilir mi ve araç başka kullanıcılar için benzer çıktılar üretiyor mu. Şirketler çıktıları ticari kullanmadan önce YZ araçlarının koşullarını incelemelidir. Değerli marka varlıkları, yazılım, ürün tasarımı veya müşteriye dönük materyaller için insan incelemesi ve fikrî mülkiyet kontrolü gerekebilir — YZ üretime yardımcı olabilir ama mülkiyet riskini ortadan kaldırmaz.
9. YZ ve Yazılım Geliştirme
YZ destekli kodlama artık yaygındır. Geliştiriciler YZ araçlarını kod üretmek, hata ayıklamak, test yazmak, sistemleri belgelemek, kodu yeniden düzenlemek, açıkları tespit etmek, mimari önermek ve kodu diller arasında çevirmek için kullanır. Bu, verimliliği artırabilir ama hukuki ve teknik risk de getirir.
Şirketler; üretilen kodun açık kaynak unsurları içerip lisans yükümlülüklerini tetikleyip tetiklemediğini, kodun güvenli olup olmadığını, gizli kodun YZ araçlarına yüklenip yüklenmediğini, geliştirici araçlarının istemleri saklayıp saklamadığını, çıktının nitelikli mühendislerce incelenip incelenmediğini, YZ üretimi kodun gizli açıklar yaratıp yaratmadığını, fikrî mülkiyet sahipliğinin net olup olmadığını ve müşteri sözleşmelerinin bu kullanıma izin verip vermediğini değerlendirmelidir. Bir yazılım şirketi bir YZ kodlama politikası benimsemelidir — amaç yeniliği önlemek değil, kontrolsüz hukuki ve güvenlik riskinden kaçınmaktır.
10. YZ Tedariki İçin Sözleşmeler
YZ araçları satın alan şirketler tedarikçi koşullarını körü körüne kabul etmemelidir. YZ tedarik sözleşmeleri; sistemin tanımı ve amaçlanan kullanımı, performans standartları ve hizmet seviyeleri, veri koruma rolleri ve işleme koşulları, sınır ötesi aktarımlar, müşteri verisinin eğitim için kullanımı, gizlilik, güvenlik, denetim hakları, açıklanabilirlik ve dokümantasyon, gerekli yerlerde önyargı testi, çıktı mülkiyeti, fikrî mülkiyet tazminatları, üçüncü taraf talepleri, sorumluluğun sınırlandırılması, düzenleyici işbirliği, alt yükleniciler, olay bildirimi, askıya alma hakları, fesih, verinin iadesi ve silinmesi ile uygulanacak hukuk ve uyuşmazlık çözümünü ele almalıdır.
YZ sistemi işletme için ne kadar önemliyse, genel tıkla-kabul et koşulları o kadar kabul edilemez hâle gelir. YZ tedariki stratejik teknoloji sözleşmesi gibi ele alınmalıdır.
11. YZ SaaS ve Müşteri Koşulları
YZ destekli ürün veya hizmet sunan şirketlerin güçlü müşteri koşullarına ihtiyacı vardır. Bunlar; sistemin ne yaptığını ve ne yapmadığını, kullanıcı sorumluluklarını ve yasak kullanımları, girdi verisi sorumluluklarını, çıktı sınırlarını, insan inceleme gerekliliklerini, uygun yerlerde "mesleki tavsiye değildir" feragatini, kabul edilebilir kullanım politikasını, veri işlemeyi, fikrî mülkiyet sahipliğini, model iyileştirmeyi, hizmet erişilebilirliğini, güvenliği, sorumluluk sınırlarını, düzenleyici sorumlulukları, askıya alma haklarını, müşteri tazminatlarını, feshi ve uyuşmazlık çözümünü ele almalıdır.
YZ SaaS sağlayıcıları için müşteri koşulları yalnızca hukuki koruma değildir — ürünün risk sınırını tanımlar. Bir şirket, müşterilerin YZ sistemini güvenle destekleyemeyeceği şekillerde kullanmasına izin vermemelidir.
12. YZ Çıktıları ve İnsan İncelemesi
YZ çıktıları hatalı, eksik, önyargılı, güncel olmayan veya yanıltıcı olabilir. Bu, çıktıların hukuki hakları, finansal kararları, sağlığı, işe alımı, eğitimi, sigortayı, krediyi, istihdamı, tüketici tavsiyesini, uyumu, güvenliği veya düzenlenmiş hizmetleri etkilediği durumlarda özellikle önemlidir. Şirketler insan incelemesinin ne zaman zorunlu olduğuna karar vermelidir.
İnsan inceleme süreci sembolik değil, anlamlı olmalıdır. İnceleyen; çıktının amacını, sistemin sınırlarını, kullanılan veriyi, hata riskini, çıktıya güvenmenin sonuçlarını ve ne zaman üst makama iletim gerektiğini anlamalıdır. İnsan, YZ sistemine itiraz edecek zamana, uzmanlığa veya yetkiye sahip değilse "döngüde insan" yeterli değildir.
13. Önyargı, Ayrımcılık ve Adillik
YZ sistemleri ayrımcı veya adil olmayan sonuçlar üretebilir. Risk; önyargılı eğitim verisinden, vekil değişkenlerden, tarihsel ayrımcılıktan, kötü model tasarımından, test edilmemiş devreye alma ortamından, izleme eksikliğinden, geri besleme döngülerinden, otomatik puanlamaya aşırı güvenmekten ve itiraz mekanizmalarının yokluğundan doğabilir. Bu, özellikle işe alım, kredi, sigorta, eğitim, sağlık, konut, kamu hizmetleri, çalışan izleme, dolandırıcılık tespiti ve müşteri segmentasyonunda önemlidir.
Kullanım senaryosu bireyleri etkilediğinde şirketler YZ sistemlerini adil olmayan sonuçlar açısından test etmeli, hukuki incelemeyi teknik değerlendirmeyle birleştirmelidir. Bir şirket yalnızca YZ'nin çalıştığını değil, hukuka uygun ve sorumlu biçimde çalıştığını da açıklayabilmelidir.
14. İstihdam ve İşyerinde YZ
İşyerinde YZ kullanımı özel hukuki riskler yaratır. İşverenler YZ'yi işe alım eleme, özgeçmiş sıralama, mülakat analizi, çalışan izleme, verimlilik ve performans puanlama, vardiya planlama, eğitim, iç soruşturmalar, belge taslağı ve İK analitiği için kullanabilir. Bu kullanımlar çalışan haklarını, mahremiyeti, eşitliği, şeffaflığı ve güveni etkileyebilir.
İşverenler; çalışanların bilgilendirilip bilgilendirilmediğini, kişisel verinin hukuka uygun işlenip işlenmediğini, izlemenin orantılı olup olmadığını, otomatik kararların istihdam haklarını etkileyip etkilemediğini, önyargının test edilip edilmediğini, İK personelinin YZ önerilerini geçersiz kılıp kılamayacağını, kayıt tutulup tutulmadığını, çalışanların sonuçlara itiraz edip edemeyeceğini, özel nitelikli veri söz konusu olup olmadığını ve üçüncü taraf tedarikçilerin çalışan verisini işleyip işlemediğini değerlendirmelidir. İstihdamda YZ dikkatle ele alınmalıdır çünkü doğrudan insanları etkiler — adil olmayan YZ tabanlı İK kararlarının itibar zararı, hukuki maliyeti aşabilir.
15. Tüketicinin Korunması ve Şeffaflık
Tüketicilerle kullanılan YZ sistemleri açık iletişim gerektirebilir — müşteriler sohbet robotlarıyla etkileşime girdiğinde, YZ ürün önerdiğinde veya fiyatı kişiselleştirdiğinde, YZ finansal ya da sağlıkla ilgili öneriler ürettiğinde, YZ pazarlama içeriği oluşturduğunda veya insan iletişimini taklit ettiğinde, YZ uygunluk değerlendirmesi yaptığında, deepfake veya sentetik medya kullanıldığında ya da YZ üretimi görseller ve yorumlar reklamlarda göründüğünde.
Şirketler; kullanıcının YZ ile etkileştiğini bilip bilmediğini, çıktının mesleki tavsiye olarak sunulup sunulmadığını, kullanıcının yanıltılabilecek olup olmadığını, sınırların açıklanıp açıklanmadığını, feragatlerin açık ama suistimal edici olmadığını, kırılgan kullanıcıların etkilenip etkilenmediğini, tüketici haklarına saygı gösterilip gösterilmediğini ve bir insana iletim yolunun bulunup bulunmadığını sormalıdır. Şeffaflık yalnızca düzenleyici bir gereklilik değildir — güvenin bir parçasıdır.
16. Düzenlenmiş Sektörlerde YZ
YZ riski düzenlenmiş sektörlerde artar — bankacılık ve finans, sigorta, sağlık, hukuki hizmetler, eğitim, istihdam, gayrimenkul, ulaşım, siber güvenlik, kamu ihaleleri, enerji, telekomünikasyon ve savunmayla bağlantılı sanayiler. Bu sektörlerde YZ kullanımı sektör kurallarına göre incelenmeli ve genel bir YZ aracı; değerlendirilmedikçe, belgelenmedikçe, test edilmedikçe ve kontrol edilmedikçe düzenlenmiş bir kullanım senaryosu için uygun olmayabilir.
Örneğin sigortada YZ; risk değerlendirmesini, hasar yönetimini ve ayrımcılık riskini etkileyebilir; sağlıkta hasta güvenliğini, mahremiyeti ve mesleki sorumluluğu; finansta kredi kararlarını, kara para aklamayla mücadele izlemesini ve tüketicinin korunmasını; eğitimde öğrenci verisini, ölçmeyi ve adilliği; hukuki hizmetlerde gizliliği, ayrıcalığı ve mesleki sorumluluğu etkileyebilir. Sektöre özgü YZ incelemesi devreye almadan önce yapılmalıdır.
17. AB Yapay Zekâ Yasası Riski
Avrupa Birliği Yapay Zekâ Yasası, YZ sistemleri için risk tabanlı bir çerçeve oluşturur. AB dışındaki şirketler bile; YZ sistemleri, çıktıları veya hizmetleri AB pazarına sunuluyor ya da AB ile bağlantılı şekillerde kullanılıyorsa bunu değerlendirmesi gerekebilir.
Türkiye, Kuzey Kıbrıs veya daha geniş bölgedeki şirketler; AB müşterilerine YZ sistemi satıyorsa, AB kullanıcılarına YZ destekli SaaS sunuyorsa, AB merkezli müvekkiller için veri işliyorsa, AB'de kullanılan ürünlere YZ entegre ediyorsa, çok uluslu şirketlere YZ aracı sağlıyorsa, YZ sistemlerinin dağıtıcısı veya ithalatçısı olarak hareket ediyorsa ya da AB pazarlarına sunulan hizmetlerde YZ çıktıları kullanıyorsa AB YZ Yasası riskini değerlendirmelidir. YZ Yasası tek çerçeve değildir ama önemli bir başvuru noktası hâline gelmektedir — uluslararası ölçeklenmeyi planlayan bir şirket YZ yönetişimini yalnızca bugünkü yerel gerekliliklere göre tasarlamamalıdır.
18. Şirketler İçin YZ Politikaları
Anlamlı şekilde YZ kullanan her şirket bir iç YZ politikası düşünmelidir. Politika; onaylı YZ araçlarını ve yasak kullanımları, gizli bilgiyi, kişisel veriyi, müşteri ve müvekkil verisini, çalışan sorumluluklarını, insan incelemesini ve çıktı doğrulamasını, fikrî mülkiyet ve telifi, kod üretimini, müşteriye dönük YZ'yi, kayıt tutmayı, tedarikçi onayını, güvenliği, olay bildirimini, disiplin sonuçlarını ve üst makama iletim prosedürlerini ele almalıdır.
Politika gerçekçi olmalıdır. Çalışanların verimlilik için YZ'ye ihtiyacı varsa şirket, YZ'nin kullanılmadığını varsaymak yerine güvenli kanallar sağlamalıdır. İyi yönetişim, sorumlu kullanımı mümkün kılar.
19. Yönetim Kurulu ve Yönetim Sorumluluğu
YZ yönetişimi yalnızca bir BT meselesi değildir. Yönetim kurulları ve üst yönetim; YZ'nin nerede kullanıldığını, hangi kullanım senaryolarının önemli olduğunu, hangi sistemlerin müşterileri veya çalışanları etkilediğini, hangi tedarikçilerin kritik olduğunu, hangi verinin işlendiğini, YZ kullanımının belgelenip belgelenmediğini, risklerin değerlendirilip değerlendirilmediğini, politikaların bulunup bulunmadığını, olayların raporlanıp raporlanmadığını, sigortanın YZ ile ilgili riski karşılayıp karşılamadığını, YZ'nin düzenleyici risk yaratıp yaratmadığını ve YZ'nin stratejiyi, itibarı veya değerlemeyi etkileyip etkilemediğini anlamalıdır.
YZ riski kurumsal yönetişim riskine dönüşebilir. YZ sistemlerini açıklayamayan bir yönetim ekibi; yatırımcılar, düzenleyiciler, müşteriler, sigortacılar ve karşı taraflarla zorluk yaşayabilir.
20. Yatırımlarda ve Birleşme-Devralmalarda YZ Durum Tespiti
Yatırımlarda ve devralmalarda YZ durum tespiti giderek önem kazanıyor. Yatırımcılar; hedefin hangi YZ sistemlerini kullandığını, YZ ürünleri geliştirip geliştirmediğini, eğitim verisi kaynaklarını, veri koruma uyumunu, fikrî mülkiyet sahipliğini, model dokümantasyonunu, tedarikçi ve müşteri sözleşmelerini, açık kaynak araç kullanımını, siber güvenliği, düzenleyici riski, AB YZ Yasası ilgisini, çalışan YZ kullanımını, derdest şikâyetleri, çıktı sorumluluğunu, üçüncü taraf modellere bağımlılığı ve hukuka uygun ölçeklenme kabiliyetini incelemelidir.
Bir YZ girişiminin teknolojisi cazip ama hukuki temelleri zayıf olabilir. Bir alıcı; şirketin sahip olduğunu iddia ettiği şeye gerçekten sahip olup olmadığını, dayandığı veriyi hukuka uygun kullanıp kullanamayacağını ve ürününün hedef pazarlara büyük düzenleyici engeller olmadan satılıp satılamayacağını sormalıdır. YZ durum tespiti teknik bir lüks değildir — değerlemenin merkezindedir.
21. YZ Kaynaklı Zarardan Sorumluluk
YZ zarara yol açtığında birçok taraf rol alabilir — YZ geliştiricisi, model sağlayıcı, yazılım tedarikçisi, devreye alan, işletme kullanıcısı, çalışan, yüklenici, müşteri, veri sağlayıcı, sistem entegratörü, mesleki danışman veya platform işletmecisi. Sorumluluk; sözleşme ihlali, ihmal, ayıplı ürün veya hizmet, veri koruma ihlali, fikrî mülkiyet ihlali, ayrımcılık, yanıltıcı beyanlar, tüketici zararı, gizlilik ihlali, siber güvenlik başarısızlığı, iş hukuku ihlali veya düzenleyici uyumsuzluktan doğabilir.
Sözleşmeler sorumluluğu açıkça dağıtmalıdır. Bir şirket, YZ tedarikçisinin tüm YZ kaynaklı zarara katlanacağını varsaymamalıdır — birçok tedarikçi koşulu sorumluluğu önemli ölçüde sınırlar. YZ sistemi işletme açısından kritik olduğunda risk dağılımı müzakere edilmelidir.
22. Delil, Denetim İzleri ve Uyuşmazlıklar
YZ uyuşmazlıkları çoğu zaman delile dayanır. Bir şirketin; hangi modelin ve sürümün devreye alındığını, hangi verinin girildiğini, hangi istemin kullanıldığını, hangi çıktının üretildiğini, kimin incelediğini, değiştirilip değiştirilmediğini, uyarıların gösterilip gösterilmediğini, politikalara uyulup uyulmadığını, sistemin test edilip edilmediğini, tedarikçinin bilgilendirilip bilgilendirilmediğini ve kayıtların saklanıp saklanmadığını gösterebilmesi gerekebilir.
Denetim izleri olmadan bir şirket konumunu savunmakta zorlanabilir. YZ yönetişimi dokümantasyon içermelidir — bu bürokrasi değil, geleceğin delilidir.
23. YZ Olay Müdahalesi
Şirketler YZ ile ilgili olaylara hazırlanmalıdır — kişisel veri açığa çıkması, bir araca yüklenen gizli bilgi, zararlı bir otomatik karar, ayrımcı bir çıktı, bir müşteri şikâyeti, bir fikrî mülkiyet ihlali talebi, halüsinasyon veya yanıltıcı bir beyan, bir güvenlik açığı, model suistimali, izinsiz çalışan kullanımı, bir tedarikçi ihlali veya bir düzenleyici soruşturma.
Bir YZ olay müdahale planı; dahili olarak kimin bilgilendirilmesi gerektiğini, harici danışmanın gerekip gerekmediğini, veri ihlali yükümlülüklerinin uygulanıp uygulanmadığını, müşterilerin veya düzenleyicilerin bilgilendirilmesi gerekip gerekmediğini, tedarikçi bildiriminin gerekip gerekmediğini, kayıtların saklanması gerekip gerekmediğini, sistem kullanımının askıya alınması gerekip gerekmediğini, dışarıyla kimin iletişim kuracağını ve düzeltmenin nasıl belgeleneceğini tanımlamalıdır. Bir şirket olay müdahale planını olay sırasında oluşturmamalıdır.
24. Sigorta ve YZ Riski
Şirketler mevcut sigortanın YZ ile ilgili riski karşılayıp karşılamadığını incelemelidir — siber, mesleki sorumluluk, yönetici sorumluluk, teknoloji hata ve ihmal, ürün sorumluluğu, medya sorumluluğu, genel sorumluluk ve istihdam uygulamaları sorumluluk poliçeleri. Sorular; YZ kaynaklı hataların, veri ihlallerinin, fikrî mülkiyet ihlali taleplerinin, mesleki tavsiye çıktılarının, ayrımcı kararların ve tedarikçi başarısızlıklarının kapsanıp kapsanmadığını, sözleşmesel sorumlulukların hariç tutulup tutulmadığını, ceza veya düzenleyici maliyetlerin kapsanıp kapsanmadığını, bildirim maliyetlerinin kapsanıp kapsanmadığını ve YZ araçlarının sigortacılara açıklanması gerekip gerekmediğini içerir.
Sigorta varsayılmamalı, incelenmelidir.
25. YZ ve Mesleki Hizmetler
YZ kullanan mesleki hizmet sağlayıcıları özellikle dikkatli olmalıdır — avukatlar, muhasebeciler, danışmanlar, mimarlar, mühendisler, doktorlar, finansal danışmanlar, sigorta profesyonelleri, gayrimenkul danışmanları ve uyum danışmanları. Mesleki yükümlülükler; gizliliği, yetkinliği, insan muhakemesini, bazı durumlarda müvekkil rızasını, çıktıların doğrulanmasını, kayıt tutmayı, izinsiz ifşadan kaçınmayı, kıdemsiz personelin ve araçların denetimini ve sektör kurallarına uyumu gerektirebilir.
YZ mesleki çalışmaya yardımcı olabilir ama mesleki sorumluluğun yerini alamaz. Bir profesyonel YZ'ye inceleme yapmadan dayanırsa ve çıktı yanlışsa, sorun yalnızca teknik değildir — bir mesleki sorumluluk meselesine dönüşebilir.
26. Sınır Ötesi YZ Stratejisi: Türkiye, Kuzey Kıbrıs ve Birleşik Krallık
Birçok YZ işletmesi ve kullanıcısı sınır ötesi faaliyet gösterir. Bir şirket Türkiye'de kurulu olup Birleşik Krallık müvekkillerine hizmet veriyor, veriyi AB'de saklıyor, ABD merkezli bir YZ tedarikçisi kullanıyor ve Kuzey Kıbrıs'ta geliştirici istihdam ediyor olabilir — bu da örtüşen hukuki sorular doğurur.
Sınır ötesi YZ stratejisi; sözleşmelerin uygulanacak hukukunu, veri aktarım kurallarını, tedarikçi ve müşteri konumunu, AB YZ Yasası riskini, Birleşik Krallık veri koruma ve YZ rehberliğini, Türkiye KVKK uyumunu, Kuzey Kıbrıs operasyonel hususlarını, yargı çevreleri arası fikrî mülkiyet sahipliğini, istihdam sözleşmelerini, vergi ve daimi işyeri meselelerini, uyuşmazlık çözümünü ve icrayı incelemelidir. YZ hukuki planlaması, yalnızca kuruluş ülkesini değil iş modelini izlemelidir.
27. Pratik Bir YZ Hukuki Kontrol Listesi
Şirketler şu soruları yanıtlayabilmelidir: İşletmede YZ nerede kullanılıyor ve her aracı kim onayladı? Hangi veri giriliyor ve kişisel veya gizli bilgi söz konusu mu? Tedarikçi veriyi eğitim için kullanıyor mu ve veri nerede saklanıyor veya aktarılıyor? Çalışanlar onaysız araçlar kullanıyor mu? Müşteriler YZ ile etkileşime giriyor mu? Çıktılar insanlarca inceleniyor mu? YZ üretimi materyaller ticari kullanılıyor mu ve fikrî mülkiyet sahipliği net mi? Tedarikçi sözleşmeleri ve müşteri koşulları yeterli mi? Sektöre özgü düzenlemeler ilgili mi ve AB YZ Yasası riski mümkün mü? Önyargı ve ayrımcılık riskleri değerlendiriliyor mu? Bir iç YZ politikası var mı? Denetim izleri saklanıyor mu? Bir olay müdahale planı var mı? Sigorta YZ ile ilgili riski karşılıyor mu? YZ yatırım veya birleşme-devralma durum tespitinde incelendi mi? Ve yönetim, şirketin YZ yönetişimini açıklayabiliyor mu?
Yanıtlar daha sonra yönetişim çerçevesini belirlemelidir — politika, gözetim, sözleşmeler, dokümantasyon ve hesap verebilirlik.
Sıkça Sorulan Sorular
Türkiye'de yapay zekâya özel bir kanun var mı?
Türkiye'de şu an AB Yapay Zekâ Yasası'na denk kapsamlı bir YZ kanunu bulunmamaktadır. Ancak YZ projeleri; kişisel verilerin korunması, sözleşmeler, fikrî mülkiyet, istihdam, tüketicinin korunması, siber güvenlik, sektör düzenlemeleri ve sorumluluk ilkeleri dâhil mevcut hukuktan zaten etkilenmektedir.
AB Yapay Zekâ Yasası Türk şirketleri için önemli mi?
Olabilir. Türk, Kuzey Kıbrıs veya bölge şirketleri; YZ sistemlerini, YZ destekli hizmetleri ya da çıktıları AB pazarına sunuyorsa veya AB'deki müşterilerle çalışıyorsa AB YZ Yasası'nı değerlendirmesi gerekebilir.
Şirketler YZ sistemlerinde kişisel veri kullanabilir mi?
Yalnızca işleme hukuka uygun, gerekli ve uygulanabilir veri koruma kurallarına uygunsa. Şirketler hukuki dayanağı, şeffaflığı, veri minimizasyonunu, sınır ötesi aktarımları, tedarikçi koşullarını ve saklamayı gözden geçirmelidir.
Çalışanlar işte ChatGPT veya benzeri araçları kullanabilir mi?
Kullanabilir, ancak şirketler açık YZ politikaları benimsemelidir. Gizli bilgiler, kişisel veriler, müvekkil belgeleri ve ticari sırlar uygun önlemler olmadan kamuya açık araçlara yüklenmemelidir.
YZ tarafından üretilen içeriğin sahibi kim?
Bu; aracın koşullarına, uygulanacak hukuka, çıktının niteliğine ve üçüncü taraf haklarının bulunup bulunmadığına bağlıdır. Şirketler YZ üretimi içeriği ticari olarak kullanmadan önce mülkiyet, lisans ve ihlal risklerini incelemelidir.
YZ tedarikçi sözleşmeleri neleri içermeli?
YZ tedarikçi sözleşmeleri; veri koruma, gizlilik, güvenlik, eğitim için kullanım, fikrî mülkiyet, çıktı mülkiyeti, sorumluluk, denetim hakları, olay bildirimi, alt yükleniciler, fesih ve düzenleyici işbirliğini ele almalıdır.
Yatırımlarda YZ durum tespiti gerekli mi?
Evet. Yatırımcılar; YZ şirketlerine yatırım yapmadan önce eğitim verisini, model mülkiyetini, fikrî mülkiyeti, veri korumayı, tedarikçi bağımlılığını, düzenleyici riski, müşteri sözleşmelerini, güvenliği ve ölçeklenebilirliği incelemelidir.
YZ bir işletme için sorumluluk doğurabilir mi?
Evet. Sorumluluk; hatalı çıktılar, ayrımcılık, veri ihlalleri, fikrî mülkiyet ihlali, yanıltıcı tüketici iletişimi, gizlilik ihlalleri, istihdam kararları veya düzenleyici uyumsuzluktan doğabilir.
Sonuç
Yapay zekâ hız, ölçek ve rekabet avantajı yaratabilir. Ama YZ aynı zamanda hukuki sorumluluk da doğurur. Yönetişim olmadan YZ benimseyen şirketler; veri koruma ihlalleri, gizlilik ihlalleri, fikrî mülkiyet uyuşmazlıkları, yanıltıcı çıktılar, çalışan talepleri, müşteri şikâyetleri, düzenleyici inceleme ve sözleşme sorumluluğuna maruz kalabilir.
En güçlü YZ stratejisi yalnızca en yeni araçları kullanmak değildir — onları disiplinle kullanmaktır. Türkiye, Kuzey Kıbrıs ve sınır ötesi pazarlardaki şirketler için YZ hukuki yönetişimi; veri koruma incelemesi, sözleşme disiplini, fikrî mülkiyet analizi, tedarikçi kontrolü, iç politika, insan gözetimi, dokümantasyon, olay müdahalesi ve yönetim kurulu seviyesinde hesap verebilirlik içermelidir.
YZ yeni olabilir ama hukuki ilke tanıdıktır: bir şirket, sistemi ölçeklemeden önce riski anlamalıdır.
Terziolu & Partners Nasıl Yardımcı Olabilir
Terziolu & Partners; işletmelere, yatırımcılara, girişimcilere, ailelere ve özel müvekkillere Türkiye, Kuzey Kıbrıs ve sınır ötesi hukuki konularda danışmanlık verir. Çalışmalarımız; YZ kullanım senaryolarının ve hukuki riskin incelenmesini; YZ yönetişim çerçeveleri konusunda danışmanlığı; iç YZ politikalarının hazırlanmasını; YZ tedarikçi sözleşmelerinin incelenmesini; YZ SaaS ve müşteri koşullarının hazırlanmasını; veri koruma ve sınır ötesi aktarımlar konusunda danışmanlığı; fikrî mülkiyet sahipliği ve YZ üretimi içerik risklerinin incelenmesini; yatırım ve devralmalarda YZ ile ilgili durum tespitine desteği; istihdam ve işyerinde YZ konularında danışmanlığı; YZ ile ilgili uyuşmazlıklarda, gizlilik ihlallerinde veya sözleşme taleplerinde yardımı; ve gerektiğinde teknik uzmanlar, veri koruma danışmanları ve yabancı avukatlarla koordinasyonu içerebilir.
Bir YZ yönetişimi, teknoloji sözleşmesi veya YZ ile ilgili hukuki mesele için ekibimizle görüşün.
Bu makale yalnızca genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Yapay zekâ hukuku ve yönetişimi hızla gelişen alanlardır. Hukuki yükümlülükler; yargı çevresine, YZ sistemine, kullanılan veriye, sektöre, kullanıcı grubuna, sözleşmesel yapıya, düzenleyici riske, teknik tasarıma, devreye alma bağlamına ve danışmanlığın zamanlamasına göre değişebilir. Bu yayına dayanılarak hiçbir işlem yapılmamalı veya yapılmaktan kaçınılmamalıdır. YZ sistemlerini geliştirmeden, devreye almadan, tedarik etmeden, bunlara yatırım yapmadan veya bunlara dayanmadan önce konuya özgü hukuki, teknik, veri koruma, düzenleyici ve ticari danışmanlık alınmalıdır. Terziolu & Partners'a bir talebin iletilmesi, vekâlet ilişkisi yazılı olarak resmen kabul edilmedikçe avukat–müvekkil ilişkisi doğurmaz.